kein Zugriff mehr auf FritzBox über OPNsense (anderes Subnetz)

Started by chris_123, August 17, 2022, 10:49:04 AM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
August 17, 2022, 10:49:04 AM
Hallo zusammen,
leider komme ich mit meiner Problemlösung nicht weiter und hoffe, dass ihr mir helfen könnt.

Ich betreibe die OPNsense hinter einer FritzBox 6591 Cable (Bridge-Anschluss).  Um weiterhin auf die FritzBox zugreifen zu können (u.a. für iobroker) habe ich diese über ein zusätzliches Interface angebunden und statisches Routen zwischen den Netzten eingerichtet.
Diese Konfiguration hat zuverlässig und eine halbe Ewigkeit bis zu einem späten Update von Ver. 22.1 funktioniert. Seitdem habe ich das Problem, dass ich nach ca. 10-12 Stunden nach Neustart der OPNsense oder der FritzBox nicht mehr aus dem LAN auf LAN_FritzBox komme.
Nach langem Probieren habe ich dann aufgeben müssen. Komischerweise hatte es dann mit dem 1.ten Update auf Ver. 22.7 wieder reibungslos funktioniert. Mit dem letzten Update stehe ich jedoch wieder vor diesem Problem!
Vielen Dank für eure Unterstützung im Voraus.
August 17, 2022, 11:46:00 AM #1
Hallo,

mache mal eine Skizze, wie die das verkabelt hast und wie bei dir die Schnittstellen dann entsprechend konfiguriert sind ( VLAN, IP-Netzs usw. ).

Ich habe bei mir die selbe Konfiguration und keine Probleme auch nicht nach dem Update.
August 17, 2022, 02:18:10 PM #2
Hallo.

Das hast du schon angesehen?

https://forum.opnsense.org/index.php?topic=29516.0

Lg
August 17, 2022, 03:02:56 PM #3
@Mks Er hat nichts von VLANs in seinem Setup geschrieben. Wie soll der Verweis hilfreich sein?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 17, 2022, 04:09:54 PM #4
Hallo,
ich bin mir nicht sicher, wie ich es besser beschreiben kann. Taste mich erst seit knapp 2 Jahren an das OPNsense-Thema in meiner Freizeit heran.

Interface [LAN] = 192.168.1.1/16 -> internes Netzwerk
Interface [VODAFONE] = Bridge-Anschluss LAN 4 der FritzBox
Interface [LAN_FRITZBox] = LAN 1 der FritzBox (per DHCP 192.168.178.3)
Die FritzBox hat 192.168.178.1/24

In den Netzwerkeinstellungen der FritzBox habe ich eine statische IPv4-Route 192.168.1.1 -> 192.168.178.3
Unter Routes der OPNsense habe ich 192.168.178.0/24 auf Gateway LAN_FRITZBOX_DHCP – 192.168.178.1 eingetragen.
Bei meinem iobroker, Server und Hauptrechner habe ich folgende statische Route hinterlegt: 192.168.178.0/24 -> 192.168.1.1
Das ist bestimmt nicht die beste Lösung... hat jedoch immer funktioniert. (-;
Es funktioniert auch eben (da Neustart der OPNsense), aber nur max. 10-12 Stunden (mittlerweile über Uptime Kuma ganz gut protokolliert).
August 17, 2022, 04:13:31 PM #5
Quote from: chris_123 on August 17, 2022, 04:09:54 PM
Interface [LAN] = 192.168.1.1/16 -> internes Netzwerk
Interface [VODAFONE] = Bridge-Anschluss LAN 4 der FritzBox
Interface [LAN_FRITZBox] = LAN 1 der FritzBox (per DHCP 192.168.178.3)
Die FritzBox hat 192.168.178.1/24
Alles klar :)

Quote from: chris_123 on August 17, 2022, 04:09:54 PM
In den Netzwerkeinstellungen der FritzBox habe ich eine statische IPv4-Route 192.168.1.1 -> 192.168.178.3
Das ist fast richtig, wenn du ohne doppeltes NAT auskommen willst. Du solltest eine Route 192.168.1.0/24 --> 192.168.178.3 anlegen stattdessen.

Quote from: chris_123 on August 17, 2022, 04:09:54 PM
Unter Routes der OPNsense habe ich 192.168.178.0/24 auf Gateway LAN_FRITZBOX_DHCP – 192.168.178.1 eingetragen.
Das ist "Quatsch". Für direkt verbundene Netze benötigst du keine statischen Routen.

Quote from: chris_123 on August 17, 2022, 04:09:54 PM
Bei meinem iobroker, Server und Hauptrechner habe ich folgende statische Route hinterlegt: 192.168.178.0/24 -> 192.168.1.1
Die sollten doch - wenn sie im 192.168.1.0/24 LAN stecken, eine Default-Route richtung OPNsense haben? Wenn ja, ist diese auch überflüssig.

Räum mal auf, vielleicht verschwinden die Probleme dann auch.

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 17, 2022, 04:37:32 PM #6 Last Edit: August 17, 2022, 05:17:14 PM by Mks
Quote from: pmhausen on August 17, 2022, 03:02:56 PM
@Mks Er hat nichts von VLANs in seinem Setup geschrieben. Wie soll der Verweis hilfreich sein?

Jop stimmt, hab es verwechselt in der Eile am Smartphone.

lg
August 17, 2022, 04:51:29 PM #7
@Patrick
Vielen Dank. Werde es heute Abend anpassen und beobachten.
Müsste es bei den FritzBox Einstellungen nicht 192.168.1.0/16 --> 192.168.178.3 sein?
Dort gibt man doch Netzwerk und Subnetzmaske an (demnach 192.168.1.0 u. 255.255.0.0, oder?)
August 17, 2022, 05:08:50 PM #8
Ah ja ... hatte ich übersehen. Der Default bei OPNsense ist /24.

Also /16 in Deinem Fall.

Und NAT ausschalten, falls nicht schon geschehen.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 17, 2022, 05:44:57 PM #9
NAT ausschalten? Wo? An der FritzBox?
Warum eigentlich? Beide Geräte (OPNsense & FritzBox) haben eine separate IP von Vodafone.
Die Geräte im LAN hinter der OPNsense nutzen direkt das Vodafone Interface. Laut z. B. dem Netzwerktest der XBOX habe ich kein doppeltes NAT. Konfiguriert über SYSTEM: GATEWAYS: SINGLE.
August 17, 2022, 05:59:12 PM #10
Ich meine NAT auf der OPNsense. Du hast die beiden doch hintereienander? Die Sense und die Fritte?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 17, 2022, 06:14:11 PM #11
Naja, durch den Bridge Modus an Port 4 ist das doch für die OPNsense ein nacktes Modem, oder?
Netzwerkseitig ist ebenfalls alles getrennt. Separate Kabel + VLAN auf dem Switch bei der FritzBox und auf dem Switch im Netzwerkschrank bei der OPNsense. Im Grunde reden wir da doch über 2 getrennte Internetzugänge.
August 17, 2022, 06:25:13 PM #12
Nein, dann hätte ja deine OPNsense eine offizielle externe IP und. icht 192.168.178.3?

Oder was verstehe ich jetzt falsch? Die Fritzbox macht Internet oder nicht?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
August 17, 2022, 06:43:53 PM #13
Hat sie. Die 192.168.178.3 hat doch Interface [LAN_FRITZBox].
Interface [VODAFONE]  hat eine  offizielle externe IP.
August 17, 2022, 06:59:43 PM #14
Ah - du willst also nur den Zugriff auf das Admin-Interface der Fritzbox? OK - sorry. Und noch was habe ich übersehen wg. /24 vs. /16.

Ein Teil von dem, was ich schrieb, stimmt. Die OPNsense braucht keinerlei statische Routen. Sie hat ja ein Bein in jedem Netz und die Default-Route zu Vodafone.

Ein Problem ist dann aber 192.168.1.0/16 - das ist dank der Netzmaske ja in Wahrheit ein 192.168.0.0/16. Und das überschneidet sich mit dem Netz zw. OPNsense und Fritzbox. Es darf bei Netzen keine Überschneidungen geben. Entweder hinter der OPNsense auch /24 oder zw. OPNsense und Fritzbox nach z.B. 172.x.y.z umnumerieren.

Die Geräte hinter der OPNsense haben alle den Default-GW zur OPNsense? Wenn ja, brauchen die auf jeden Fall auch keine statischen Routen.

Wenn es dann nur um den Admin-Zugriff zur Fritzbox geht, hast du zwei Möglichkeiten:

1. auf der Fritzbox statische Route wie besprochen, aber du musst die Überlappung entfernen.
2. oder stattdessen auf der OPNsense auch auf diesem Interface NAT auf die (z.B.) 192.168.178.3 - dann sieht die Fritzbox von deinem internen Netz nix.

Ich ziehe letzteres vor für die DSL-Modems, die wir so haben.

Gruß, nochmal sorry wegen der Verwirrung,
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
Print
Go Up Pages1 2
User actions